計算機網(wǎng)絡(luò)安全10網(wǎng)絡(luò)安全解決方案.ppt

第10章網(wǎng)絡(luò)安全解決方案 內(nèi)容提要 網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全解決方案單機用戶網(wǎng)絡(luò)安全解決方案內(nèi)部網(wǎng)絡(luò)安全管理制度小結(jié) 10 1網(wǎng)絡(luò)安全體系結(jié)構(gòu) 1 網(wǎng)絡(luò)信息安全的基本問題網(wǎng)絡(luò)信息安全的基本問題是眾所周知的諸要素 可用性 保密性 完整性 可控性與可審查性等 最終要解決是使用者對基礎(chǔ)設(shè)施的信心和責任感的問題 返回本章首頁 網(wǎng)絡(luò)時代的信息安全有非常獨特的特征 研究信息安全的困難在于 邊界模糊評估困難安全技術(shù)滯后管理滯后 返回本章首頁 2 網(wǎng)絡(luò)與信息安全體系要實施一個完整的網(wǎng)絡(luò)與信息安全體系 至少應(yīng)包括三類措施 并且三者缺一不可 一是社會的法律政策 規(guī)章制度措施二是技術(shù)措施三是審計和管理措施 返回本章首頁 數(shù)據(jù)安全 平臺安全 服務(wù)安全要求用完整的信息保障體系 并不斷發(fā)展傳統(tǒng)的信息安全概念 保護 檢測 響應(yīng) 恢復(fù)涵蓋了對現(xiàn)代網(wǎng)絡(luò)信息系統(tǒng)保護的各個方面 構(gòu)成了一個完整的體系 使網(wǎng)絡(luò)信息安全建筑在更堅實的基礎(chǔ)之上 返回本章首頁 1 保護 Protect 保護包括傳統(tǒng)安全概念的繼承 用加解密技術(shù) 訪問控制技術(shù) 數(shù)字簽名技術(shù) 從信息動態(tài)輿 數(shù)據(jù)靜態(tài)存儲和經(jīng)授權(quán)方可使用 以及可驗證的信息交換過程等到方面對數(shù)據(jù)及其網(wǎng)上操作加以保護 返回本章首頁 2 檢測 Detect 檢測的含義是 對信息傳輸?shù)膬?nèi)容的可控性的檢測 對信息平臺訪問過程的甄別檢測 對違規(guī)與惡意攻擊的檢測 對系統(tǒng)與網(wǎng)絡(luò)弱點與漏洞的檢測等等 返回本章首頁 3 響應(yīng) React 在復(fù)雜的信息環(huán)境中 保證在任何時候信息平臺能高效正常運行 要求安全體系提供有力的響應(yīng)機制 返回本章首頁 4 恢復(fù) Restore 狹義的恢復(fù)指災(zāi)難恢復(fù) 在系統(tǒng)受到攻擊的時候 評估系統(tǒng)受到的危害與損失 按緊急響應(yīng)預(yù)案進行數(shù)據(jù)與系統(tǒng)恢復(fù) 啟動備份系統(tǒng)恢復(fù)工作等 廣義的恢復(fù)還包括災(zāi)難生存等現(xiàn)代新興學(xué)科的研究 返回本章首頁 保護 檢測 響應(yīng) 恢復(fù)四個概念之間存在著一定的因果和依存關(guān)系 形成一個整體 如果全面的保護仍然不能確保安全 這在現(xiàn)階段是必然的 就需要檢測來為響應(yīng)創(chuàng)造條件 有效與充分地響應(yīng)安全事件 將大大減少對保護和恢復(fù)的依賴 恢復(fù)能力是在其他措施均失準備的情形下的最后保障機制 返回本章首頁 3 網(wǎng)絡(luò)安全體系結(jié)構(gòu)要使信息系統(tǒng)免受攻擊 關(guān)鍵要建立起安全防御體系 從信息的保密性 拓展到信息的完整性 信息的可用性 信息的可控性 信息的不可否認性等 為研究的方便 可以將其簡化為用三維框架表示的結(jié)構(gòu)模型 其構(gòu)成要素是安全特性 系統(tǒng)單元及開放互連參考模型結(jié)構(gòu)層次 返回本章首頁 返回本章首頁 安全防御體系結(jié)構(gòu)框架 上述框架模型是一個立體空間結(jié)構(gòu) 突破了以往分散孤立地考慮安全問題的舊模式 是站在頂層從整體上對網(wǎng)絡(luò)安全進行分析和描述的 它把與網(wǎng)絡(luò)安全相關(guān)的物理 規(guī)章及人員等安全要素都容納其中 涉及系統(tǒng)保安和人員的行政管理等方面的各種法令 法規(guī) 條例和制度等也均在其考慮之列 返回本章首頁 在進行計算機網(wǎng)絡(luò)安全設(shè)計 規(guī)劃時 應(yīng)遵循以下原則 需求 風險 代價平衡分析的原則綜合性 整體性原則一致性原則易操作性原則適應(yīng)性 靈活性原則多重保護原則 返回本章首頁 任何安全保護措施都不是絕對安全的 都可能被攻破 為此需要構(gòu)建全方位的安全體系 全方位的安全體系的主要內(nèi)容包括 訪問控制檢查安全漏洞攻擊監(jiān)控加密通訊認證備份和恢復(fù) 返回本章首頁 10 2網(wǎng)絡(luò)安全解決方案 1 網(wǎng)絡(luò)安全需求分析 1 網(wǎng)絡(luò)安全需求分析的基本原則網(wǎng)絡(luò)系統(tǒng)的安全性和易用性在很多時候是矛盾的 因此 在做安全需求分析時需要在其中找到一個恰當?shù)钠胶恻c 如果安全原則妨礙了系統(tǒng)應(yīng)用 那么這個安全原則就不是一個好的原則 返回本章首頁 在做需求分析時需要確立的幾種意識 風險意識權(quán)衡意識相對意識集成意識 返回本章首頁 2 安全威脅分析企業(yè)網(wǎng)絡(luò)面臨的安全威脅主要來自以下方面 操作系統(tǒng)的安全性 防火墻的安全性 來自內(nèi)部網(wǎng)用戶的安全威脅 缺乏有效的手段監(jiān)視 評估網(wǎng)絡(luò)系統(tǒng)的安全性 返回本章首頁 采用的TCP IP協(xié)議族軟件 本身缺乏安全性 應(yīng)用服務(wù)的安全性 未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java ActiveX控件進行有效控制 返回本章首頁 一套完整的網(wǎng)絡(luò)安全解決方案 應(yīng)該根據(jù)目標網(wǎng)絡(luò)系統(tǒng)的具體特征和應(yīng)用特點 有針對性地解決可能面臨的安全問題 具體來講 需要考慮的問題包括 關(guān)于物理安全的考慮關(guān)于數(shù)據(jù)安全的考慮數(shù)據(jù)備份的考慮防病毒的考慮關(guān)于操作系統(tǒng) 數(shù)據(jù)庫 應(yīng)用系統(tǒng)的安全考慮 返回本章首頁 網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu)的考慮通信系統(tǒng)安全的考慮關(guān)于口令安全的考慮關(guān)于軟件研發(fā)安全的考慮關(guān)于人員安全因素的考慮網(wǎng)絡(luò)相關(guān)設(shè)施的設(shè)置和改造安全設(shè)備的選型安全策略與安全管理保障機制的設(shè)計 返回本章首頁 網(wǎng)絡(luò)安全行政與法律保障體系的建立長期安全顧問服務(wù)服務(wù)的價格事件處理機制安全監(jiān)控網(wǎng)絡(luò)和安全監(jiān)控中心的建立安全培訓(xùn)等 返回本章首頁 3 企業(yè)網(wǎng)絡(luò)的安全需求分析企業(yè)網(wǎng)絡(luò)的基本安全需求企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備 服務(wù)器 保護這些設(shè)備的正常運行 維護主要業(yè)務(wù)系統(tǒng)的安全 是企業(yè)網(wǎng)絡(luò)的基本安全需求 返回本章首頁 業(yè)務(wù)系統(tǒng)的安全需求企業(yè)網(wǎng)絡(luò)應(yīng)保障 訪問控制 確保業(yè)務(wù)系統(tǒng)不被非法訪問 數(shù)據(jù)安全 保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性 入侵檢測 能及時發(fā)現(xiàn) 記錄和跟蹤破壞業(yè)務(wù)系統(tǒng)的惡意行為 提供非法攻擊的證據(jù) 來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)帶來的安全隱患 返回本章首頁 Internet服務(wù)網(wǎng)絡(luò)的安全需求Internet服務(wù)網(wǎng)絡(luò)安全需求是保護網(wǎng)絡(luò)不受破壞 確保網(wǎng)絡(luò)服務(wù)的可用性 Internet服務(wù)網(wǎng)絡(luò)分為兩個部分 提供網(wǎng)絡(luò)用戶對Internet的訪問提供Internet對網(wǎng)內(nèi)服務(wù)的訪問 返回本章首頁 作為信息網(wǎng)絡(luò)之間互聯(lián)的邊界安全應(yīng)作為主要安全需求包括 保證信息網(wǎng)絡(luò)間安全互聯(lián) 能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離 對于專有應(yīng)用的安全服務(wù) 必要的信息交互的可信任性 能夠提供對于主流網(wǎng)絡(luò)應(yīng)用的良好支持 返回本章首頁 信息網(wǎng)絡(luò)公共資源能夠?qū)﹂_放用戶提供安全訪問 對網(wǎng)絡(luò)安全事件的審計 對于網(wǎng)絡(luò)安全狀態(tài)的量化評估 對網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控 返回本章首頁 信息網(wǎng)絡(luò)內(nèi)部的安全需求 包括 信息網(wǎng)絡(luò)中的各單位網(wǎng)絡(luò)之間建立連接控制手段 能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問 同時對于遠程訪問用戶增強安全管理 加強對于整個信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn) 返回本章首頁 4 安全需求分析的一般過程 返回本章首頁 本節(jié)以某公司網(wǎng)絡(luò)為例 來介紹進行安全需求分析的一般過程 網(wǎng)絡(luò)拓撲結(jié)構(gòu)如右圖所示 網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的 對于基于TCP IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來說 安全層次是與TCP IP協(xié)議層次相對應(yīng)的 針對網(wǎng)絡(luò)的實際情況 可以將安全需求層次歸納為網(wǎng)絡(luò)層安全和應(yīng)用層安全兩個技術(shù)層次 同時將在各層都涉及的安全管理部分單獨作為一部分進行分析 返回本章首頁 網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護網(wǎng)絡(luò)不受攻擊 確保網(wǎng)絡(luò)服務(wù)的可用性 能夠防范來自Internet的對提供服務(wù)的非法利用 防范來自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生 對于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護 返回本章首頁 應(yīng)用層需求分析應(yīng)用層的安全需求是針對用戶和網(wǎng)絡(luò)應(yīng)用資源的 主要包括 合法用戶可以以指定的方式訪問指定的信息 合法用戶不能以任何方式訪問不允許其訪問的信息 非法用戶不能訪問任何信息 用戶對任何信息的訪問都有記錄 返回本章首頁 安全管理需求分析能否制定一個統(tǒng)一的安全策略 在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全管理 對于企業(yè)網(wǎng)來說是至關(guān)重要的 安全管理主要包括三個方面 內(nèi)部安全管理網(wǎng)絡(luò)安全管理應(yīng)用安全管理 返回本章首頁 2 網(wǎng)絡(luò)安全解決方案 1 網(wǎng)絡(luò)安全解決方案的層次劃分第一部分為法律 法規(guī)與管理手段第二部分為增強的用戶認證第三部分是授權(quán)第四部分是加密第五部分為審計 監(jiān)控和數(shù)據(jù)備份 返回本章首頁 在上述網(wǎng)絡(luò)和信息安全模型中 五個部分是相輔相成 缺一不可的 其中底層是上層保障的基礎(chǔ) 如果缺少下面各層次的安全保障 上一層的安全措施則無從說起 返回本章首頁 2 網(wǎng)絡(luò)安全解決方案 返回本章首頁 根據(jù)上述網(wǎng)絡(luò)安全解決方案的層次分析 可以設(shè)計出如圖所示的網(wǎng)絡(luò)安全解決方案 在總部網(wǎng)關(guān)位置配置CheckPointFirewall 1防火墻 劃分多安全區(qū)域 將內(nèi)網(wǎng) 對外發(fā)布的WebServer和電子商務(wù)網(wǎng)站放置在不同的網(wǎng)絡(luò)安全區(qū)域 在服務(wù)器區(qū)前放置CheckPointFirewall 1防火墻模塊 其他區(qū)域?qū)Ψ?wù)器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查 在中心交換機上配置基于網(wǎng)絡(luò)的IDS系統(tǒng) 監(jiān)控整個網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)流量 返回本章首頁 在服務(wù)器區(qū)內(nèi)的重要服務(wù)器 如Sybase數(shù)據(jù)庫服務(wù)器等 安裝基于主機的入侵檢測系統(tǒng) 對所有對數(shù)據(jù)庫服務(wù)器的訪問進行監(jiān)控 并對數(shù)據(jù)庫服務(wù)器的操作進行記錄和審計 將電子商務(wù)網(wǎng)站和進行公司普通Web發(fā)布服務(wù)器進行獨立配置 對電子商務(wù)網(wǎng)站的訪問將需要身份認證和加密傳輸 保證電子商務(wù)的安全性 返回本章首頁 在DMZ區(qū)的電子商務(wù)網(wǎng)站配置基于主機的入侵檢測系統(tǒng) 防止來自Internet對Http服務(wù)的攻擊行為 在公司總部安裝Spa統(tǒng)一認證服務(wù)器 對所有需要的認證進行統(tǒng)一管理 并根據(jù)客戶的安全級別設(shè)置所需要的認證方式 如靜態(tài)口令 動態(tài)口令 數(shù)字證書等 返回本章首頁 3 設(shè)備說明防火墻設(shè)備在本方案中選用的防火墻設(shè)備是CheckPointFireWall 1防火墻 FireWall 1功能特點有 對應(yīng)用程序的廣泛支持集中管理下的分布式客戶機 服務(wù)器結(jié)構(gòu)遠程網(wǎng)絡(luò)訪問的安全保障 FireWall 1SecuRemote 返回本章首頁 防病毒設(shè)備在本方案中防病毒設(shè)備選用的是趨勢科技的整體防病毒產(chǎn)品和解決方案 包括中央管理控制 服務(wù)器防病毒和客戶機防病毒三部分 返回本章首頁 入侵監(jiān)測設(shè)備在本方案中入侵監(jiān)測設(shè)備采用的是NFR入侵監(jiān)測設(shè)備 包括NFRNID和NFRHID NFR把基于網(wǎng)絡(luò)的入侵檢測技術(shù)NID和基于主機的入侵檢測技術(shù)HID完美地結(jié)合起來 構(gòu)成了一個完整的 一致的實時入侵監(jiān)控體系 返回本章首頁 SPA身份認證設(shè)備本方案采用的身份認證設(shè)備是SecureComputing的SafeWord SafeWord具備分散式運作及無限制的可擴充特性 返回本章首頁 10 3單機用戶網(wǎng)絡(luò)安全解決方案 由于當前個人用戶使用Windows類操作系統(tǒng)的占大多數(shù) 因此本節(jié)所討論的單機用戶網(wǎng)絡(luò)安全解決方案主要是針對Windows系列操作系統(tǒng)的 單機上網(wǎng)用戶面臨的安全問題主要包括 返回本章首頁 計算機硬件設(shè)備的安全計算機病毒網(wǎng)絡(luò)蠕蟲惡意攻擊木馬程序網(wǎng)站惡意代碼操作系統(tǒng)和應(yīng)用軟件漏洞等 返回本章首頁 1 Windows98安全解決方案 1 Windows98系統(tǒng)面臨的安全威脅Windows98系統(tǒng)的可控性和可管理性相對較差 從自身來講安全性不強 但同時來自于Internet上的安全威脅又相對較少 主要體現(xiàn)在 返回本章首頁 惡意網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)共享漏洞惡意網(wǎng)站代碼不明來歷的包含病毒與木馬的應(yīng)用程序惡意電子郵件攻擊等 返回本章首頁 其中電子郵件帶來的安全問題主要包括 電子郵件容易被截獲電子郵件客戶端軟件設(shè)計存在缺陷 返回本章首頁 2 Windows98安全解決方案根據(jù)以上的分析對Windows98系統(tǒng)的安全解決方案主要包括 防病毒與木馬防網(wǎng)絡(luò)攻擊防網(wǎng)站惡意代碼電子郵件安全 返回本章首頁 防病毒與木馬防病毒與木馬主要依賴于防病毒軟件 目前比較流行的有代表性的防病毒軟件有 NortonAnti Virus KasperskyAnti Virus 江民的KV系列 金山毒霸和瑞星等 防病毒軟件通常也具有一定防木馬的能力 專業(yè)的防木馬軟件有 木馬克星 Anti Trojan TrojanRemover等 安裝防病毒軟件絕對不是一勞永逸的 一定要養(yǎng)成定期更新病毒代碼庫的良好習慣 返回本章首頁 防網(wǎng)絡(luò)攻擊防網(wǎng)絡(luò)攻擊的有效手段是安裝個人防火墻 應(yīng)用防火墻軟件最主要的是要設(shè)置好防火墻的規(guī)則 只有這樣才能正常發(fā)揮抵御網(wǎng)絡(luò)攻擊的能力 典型的個人防火墻軟件主要有 NortonInternetSecurity ZoneAlarmPro BlackIce 天網(wǎng)防火墻 個人版 綠色警戒等 返回本章首頁 防網(wǎng)站惡意代碼對于單機上網(wǎng)用戶來說 網(wǎng)站惡意代碼是威脅用戶安全的主要因素 為了防網(wǎng)站惡意代碼的危害 不讓其執(zhí)行是其中的關(guān)鍵 可以在IE瀏覽器的安全設(shè)置中禁止VBScript和JavaScript的執(zhí)行 此外 如今的防病毒軟件大多數(shù)也具有檢測并殺除網(wǎng)站惡意代碼的能力 返回本章首頁 電子郵件安全從技術(shù)上看 沒有任何辦法可以阻止攻擊者截獲需要在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 保護電子郵件安全的唯一方法就是讓攻擊者截獲了數(shù)據(jù)包但無法閱讀它 即對電子郵件的內(nèi)容進行某種形式的加密處理 目前已經(jīng)出現(xiàn)了不少解決電子郵件安全問題的加密系統(tǒng)解決方案 其中最具代表性的是PGP加密系統(tǒng) 返回本章首頁 2 Windows2000 XP安全解決方案針對Windows98的安全措施對Windows2000 XP同樣有效 也是Windows2000 XP安全解決方案的重要組成部分 此外Windows2000 XP的可管理性比Windows98要強得多 本小節(jié)主要從安全管理和安全配置方面進行介紹 返回本章首頁 1 Windows2000 XP安全管理停用Guest帳號限制不必要的用戶數(shù)量創(chuàng)建2個管理員用帳號把系統(tǒng)administrator帳號改名創(chuàng)建一個陷阱帳號把共享文件的權(quán)限從 everyone 組改成 授權(quán)用戶 返回本章首頁 使用安全密碼設(shè)置屏幕保護密碼使用NTFS格式分區(qū)保障備份盤的安全 返回本章首頁 2 Windows2000安全配置利用win2000 XP的安全配置工具來配置策略關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口打開審核策略開啟密碼策略開啟帳戶策略設(shè)定安全記錄的訪問權(quán)限 返回本章首頁 不讓系統(tǒng)顯示上次登陸的用戶名到微軟網(wǎng)站下載最新的補丁程序禁止建立空連接關(guān)閉默認共享禁止dumpfile的產(chǎn)生關(guān)機時清除掉頁面文件禁止從軟盤和CDRom啟動系統(tǒng)考慮使用智能卡來代替密碼慮使用IPSec 返回本章首頁 10 4內(nèi)部網(wǎng)絡(luò)安全管理制度 面對網(wǎng)絡(luò)安全的脆弱性 除在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能 完善系統(tǒng)的安全保密措施外 還必須花大力氣加強網(wǎng)絡(luò)的安全管理 下面提出有關(guān)信息系統(tǒng)安全管理的若